Microsoft et la sécurité : encore du chemin à faire!

Plus de trois ans après, où en est le bilan du plan informatique de confiance de Microsoft, initié par Bill Gates le 15 janvier 2002 – à la suite de la catastrophe du ver Nymda et de ses 100 millions de postes infectés? Le bilan de ce plan donnant priorité à la sécurité, est positif pour l’éditeur. Mais qu’en est-t-il pour le marché ?

« En matière de sécurité, il y a un décalage substantiel entre Microsoft et les développeurs. Il est énorme avec les particuliers. Quant aux entreprises, la plupart des grosses entreprises enregistrent des progrès, mais les systèmes de ‘patchs’ [correctifs]sont encore perfectibles, et les temps de qualification des équipements sont encore trop longs« , constate Bernard Ourghanlian. Et les PME/PMI ? « Le fossé reste très important. Les PME n’ont pas les moyens de s’offrir un responsable informatique. Nous devons sensibiliser les patrons, les responsabiliser, en particulier sur les problématiques juridiques. Et leur proposer des solutions. Ce sera l’objet d’un prochain tour de France que nous organisons avec le Medef et les CCI« . « Nous pourrions aussi leur proposer de se rapprocher d’acteurs locaux, de mutualiser des solutions d’administration de la sécurité à distance avec par exemple des contrats d’abonnement« . Et les développeurs ? « Nous devons faire face à un déficit de formation. L’insuffisance du cursus de formation sur la sécurité a une influence sur le contenu des curriculum vitae. Nous essayons d’influencer ce contenu, et nous développons des formations avec des partenaires certifiés« . Cette faiblesse des acteurs du développement en matière de sécurité a aussi d’autres origines, plus profondes et économiques. « Ecrire du code sécurisé a un coût. Ça coûte toujours plus cher, suivant le niveau d’exigence demandé, jusqu’à 15% de plus. C’est pourtant une démarche de qualité, et nous devons sensibiliser les donneurs d’ordres« . Pour accompagner les développeurs, Microsoft a intégré de nombreuses fonctionnalités de sécurité dans ses outils actuels, .NET, ou futurs, Visual Studio 2005, afin de détecter les grands risques d’erreurs, de buffer overflow [congestion de la mémoire tampon] par exemple. Mais comme le souligne Bernard Ourghanlian, « La sécurité ne saurait se réduire à la technologie« . La priorité reste la formation, « à intervalles réguliers. Chez Microsoft, nous lui consacrons une semaine par an et par développeur. C’est la base du changement, l’origine de la prise de conscience nécessaire. Car avec l’arrivée de nouveaux produits de développement, très orientés vers le design, les développeurs ont perdu la conscience de la sécurité. Nous avons amélioré la productivité, mais pas mis à niveau le code« . Un constat alarmant, qui confirme le profond changement de culture de Microsoft, comme nous le démontrent le réalisme et le pragmatisme de Bernard Ourghanlian. Les choses évoluent, et Microsoft y travaille, mais le chemin sera encore long à parcourir avant qu’en matière de sécurité le risque ne devienne acceptable.